27 avril 2026

LA SOCIÉTÉ ANTHROPIC RETARDE LA MISE À DISPOSITION DU PUBLIC DE SON IA CLAUDE MYTHOS PREVIEW EN L’ÉTAT DE LA CYBERSÉCURITÉ ACTUELLE

CONTEXTE :

L’intelligence artificielle (ci-après IA) Claude Mythos Preview a vu sa mise à disposition au public être retardée relativement aux potentiels risques que celles-ci pourraient provoquer en l’état actuel de la cybersécurité.

Claude Mythos Preview est une IA destinée à analyser du code et à trouver des failles zero day dans les systèmes OS. Ce type de faille correspond à des vulnérabilités encore inconnues des développeurs que des hackers vont pouvoir exploiter avant qu’un correctif ne soit proposé.

L’IA Mythos est aujourd’hui considérée comme l’une des IA les plus performante ayant été créée. A titre d’exemple, la plupart des chatbox stagnaient à entre 45% et 57% sur le score SWE-bench Pro à l’instar de Claude Opus 4.5 et GPT-5.4., tandis que Claude Mythos Preview atteint le score de 77,80% selon les chiffres fournis par le constructeur.

A titre d’exemple, celle-ci a permis de détecter des failles humaines n’ayant pas été détectées depuis 27 ans dans un système informatique alors même qu’il avait été soumis à plusieurs audits humains et autres contrôles numériques.

La société Anthropic, développeur de cette IA, a pris la décision de restreindre son accessibilité à certains partenaires tels que Apple, Microsoft ou encore Google du fait de ses performances.

En ce sens, les possibilités offertes par cette IA s’accompagnent de nombreux risques tenants à des actions menées par celle-ci sans qu’aucune tâche ne lui ai été assignée, mais également à de la dissimulation active contre les chercheurs responsables de son entrainement.

L’IA Mythos a notamment réussi à s’évader d’un ordinateur non lié au réseau extérieur avant d’envoyer un mail au chercheur responsable de ce test pour l’informer de sa sortie.

Celle-ci a également adopté des comportements de triche assumée afin de donner l’illusion de performances réduites. Mythos a finalement modifié les permissions lui ayant été accordées et a même effacé son historique de tâches accomplies, afin de dissimuler certaines de ses actions aux chercheurs responsables de celle-ci.

Dans une perspective de mise à disposition du public potentiellement prochaine, l’ensemble de ces constats posent de nombreuses questions juridiques notamment au regard du respect du Règlement relatif à l’intelligence artificielle (ci après RIA) (I), des atteintes à la vie privée (II. A.) ou encore de la protection des données personnelles relativement au Règlement général à la protection des données (ci-après RGPD) (II. B.).

DEVELOPPEMENT :

I. LES ATTEINTES POTENTIELLES AUX RIA

A. Détermination d’une “IA à hauts risques”

Le RIA a été promulgué en 2024 par l’Union européenne afin de proposer un schéma juridique permettant une IA respectueuse du droit des personnes. Ce règlement se fonde sur une approche basée sur le risque.

L’article 2 de ce règlement dispose à cet effet que les fournisseurs, déployeurs, importateurs, distributeurs implantés dans l’UE, ou dont les systèmes d’IA sont à destination de l’Union européenne, sont soumis à son application.

Tout système d’IA doit donc respecter les obligations générales telles que prévues à l’article 4 du règlement qui prévoit une exigence de formation à l’IA pour les personnes destinées à créer et à entrainer des modèles d’IA. La sanction de l’inobservation de cette obligation dépend du niveau de risque attribué à l’IA en question.

Le RIA définit 4 types de risques :

  • Risque inacceptable : un ensemble de pratiques entretenues par les IA sont interdites par le RIA telle que la police prédictive ou encore les systèmes de notation sociale à l’aide d’une IA ;
  • Hauts risques : ces systèmes d’IA sont soumis à une série d’obligations particulières ;
  • Risque modéré : ces IA sont soumises à des obligations particulières de transparence (article 50 RIA) ;
  • Risque minime : le texte ne prévoit pas d’obligations spécifiques

Ainsi, l’article 6 et les annexes correspondantes du RIA prévoient les critères permettant de définir une IA à « hauts risques ». Ces dernières sont susceptibles de porter atteinte à la sécurité des personnes et/ou à leurs droits fondamentaux.

Le premier correspond aux produits réglementés soumis à une harmonisation au sein de l’Union européenne listés en Annexe 1, tels que les dispositifs médicaux soumis à un Règlement européen (Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n 178/2002 et le règlement (CE) n 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE ( JO L 117 du 5.5.2017, p. 1);

Le second critère correspond aux cas d’usages listés au sein de l’annexe 3 tels que les systèmes biométriques, systèmes utilisés dans des infrastructures critiques ou encore dans les services de recrutement.

En fonction du secteur d’activités dans lequel l’IA Claude Mythos Review serait utilisée dans le cas de sa diffusion, celle-ci serait probablement être qualifiée d’IA à hauts risques.

B. Les obligations complémentaires auxquelles sont soumises les « IA à hauts risques »

Les IA à “hauts risques” sont soumises à une mise en conformité plus complexe au titre de plusieurs obligations supplémentaires telles que:

  • Article 9 RIA : La mise en place d’un système de gestion de risques notamment par « l’identification et l’analyse de risques connus (…) que le système d’IA peut causer (…) » ;
  • Article 10 RIA : La validation de la qualité des données, par exemple, qu’elles soient bien exemptes de biais ;
  • Article 11 RIA : La « documentation technique » afin de démontrer que le système d’IA correspond aux exigences techniques requises ;
  • Article 12 RIA : « L’enregistrement automatique des évènements tout au long de la durée de vie du système » « afin de garantir un degré de traçabilité du fonctionnement d’un système d’IA qui soit adapté à la destination du système (…) ».
  • Article 13 RIA : La conception et le développement de ces systèmes d’IA doivent garantir une transparence dans la fourniture des informations notamment par la création d’une notice d’informations, qui doit notamment indiquer « les caractéristiques, les capacités et les limites de performance du système d’IA ».
  • Article 14 RIA : L’obligation de contrôle humain qui doit se révéler effectif pour « prévenir ou réduire au minimum les risques pour (…) les droits fondamentaux ».

Le développeur d’une « IA à hauts risques » doit également prévoir une conception robuste du système d’IA pour permettre un niveau suffisant de cybersécurité (Article 15 RIA). Les systèmes d’IA doivent disposer d’un marquage CE (Article 16.h RIA) ou encore procéder à une déclaration de conformité (Article 18.1.e RIA).

L’article 53 du RIA prévoit quant à lui une obligation de tenue de registres détaillés faisant écho aux obligations de transparence imposées par ce même règlement (Article 50 RIA).

La potentielle qualification de Mythos telle que « IA à hauts risques » impliquerait le respect nécessaire de l’ensemble de ces obligations.

Les sanctions prévues par le RIA dépendent du niveau de risque de l’IA prise en compte. Les manquements relatifs à des IA à hauts risques peuvent être sanctionnés jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial.

Or, les événements récents de dissimulation active à l’égard des chercheurs, de modifications de ses permissions ainsi que de l’effacement de son historique poseraient fortement question quant au respect des obligations communautaires, dont l’effectivité du contrôle humain qui parait en l’espèce bien trop faible face aux aptitudes du système d’IA Mythos.

Cette IA ne peut pas garantir sa transparence dans ses actions, ni la complétude de sa documentation requise ou de l’enregistrement de ses données, puisque les chercheurs en étant eux-mêmes responsables ne connaissent pas l’étendue de ses actions. Plusieurs obligations seraient défaillantes en l’état actuel des choses.

Comme relevé par beaucoup, la dangerosité de cette IA s’accompagne d’une non-adaptation certaine de nos outils de cybersécurité, impuissante face à un tel système d’IA.

II. LES RISQUES D’ATTEINTE À LA VIE PRIVÉE DES PERSONNES CONCERNÉES EN LIEN AVEC LA PROTECTION DE LEURS DONNÉES PERSONNELLES

A. Le respect de la vie privée

En droit français, le droit à la vie privée est protégé par l’article 9 du Code civil qui prévoit que « Chacun a droit au respect de sa vie privée ».

Ce droit recouvre également le droit à l’image qui permet à toute personne de s’opposer à l’utilisation ou à la diffusion de son image, notamment du fait d’un système d’IA.

La Cour d’appel de Paris a récemment reconnu l’existence d’une autonomie du droit à la voix en tant qu’attribut de la personnalité. Ainsi, « Dès lors que la voix est identifiable “chaque personne peut s’opposer à sa fixation, sa reproduction ou son utilisation sans son autorisation.”* ».

Ce droit à une valeur fondamentale au regard de son rattachement à l’article 66 de la Constitution qui permet à l’autorité judiciaire de disposer du rôle de gardienne de la « liberté individuelle » (CC, DC, n°94-352).

La mise sur le marché d’une IA telle que Mythos pourrait interroger quant à son respect des droits fondamentaux, dont la vie privée. L’objectif de Mythos est bien de s’introduire dans n’importe quel système donné afin d’en trouver les failles et ainsi avertir les concepteurs de ces systèmes.

Néanmoins, le report de la mise à disposition du public peut inquiéter quant à des capacités démesurément élevées de cette IA à s’introduire dans des systèmes privés, auxquels elle ne devrait pas détenir la possibilité d’y accéder

Le cas d’un accès non autorisé à des données relevant de la vie privée d’une personne concernée par un système d’IA tel que Mythos serait obscur et ne serait susceptible que de peu de contrôles par les autorités compétentes, les chercheurs en étant eux-mêmes quelque peu écartés.

La mise à disposition au public de ce type d’IA pourrait se révéler attentatoire à des droits fondamentaux en l’état actuel de la cybersécurité. En effet, Mythos se révèle bien plus performante que l’ensemble des IA aujourd’hui proposées sur le marché.

En cas de violation de ce droit fondamental, plusieurs sanctions sont prévues au titre de dommages et intérêts ainsi qu’une action en
référé aux fins de cessation de l’atteinte et la publication judiciaire d’un communiqué.

B. La protection des données personnelles

Le RGPD prévoit un ensemble d’obligations relatif au traitement de données personnelles. Celles-ci désignent « toute information se rapportant à une personne physique identifiée ou identifiable » (Article 4 RGPD).

Un traitement de données désigne toute action sur la donnée, telle que l’accès, la modification ou encore la destruction.

L’article 5 du RGPD prévoit des obligations de loyauté, de licéité et de transparence, notamment au regard du principe d’Accountability, dans le cadre des traitements effectués.

Entre autres, l’article 13 du RGPD prévoit une obligation de transmission d’informations à la personne concernée par le responsable de traitement.

Finalement, les articles 12 à 22 du RGPD prévoient un ensemble de droits au bénéfice de la personne concernée tels que le droit d’accès ou de rectification.

Ainsi, toute entreprise proposant des biens ou des services à destination d’un public de l’Union européenne se voit contrainte au respect du RGPD, sous peine de sanctions.

Dans l’état actuel de nos connaissances des capacités de l’IA Mythos, l’on pourrait s’interroger quant à une possibilité de respect du RGPD par une IA. Un simple accès étant considéré comme un traitement de donnée, l’insertion de cette IA dans des systèmes privés devrait respecter les différentes obligations relatives au RGPD.

Une insertion frauduleuse ne donnerait pas forcément connaissance à la personne concernée d’une intrusion dans son appareil contenant des données personnelles, qui ne disposerait ainsi pas de la possibilité d’actionner les différents droits individuels prévu par le RGPD.

En outre, les capacités d’intrusion dans des systèmes de l’IA Claude Mythos Preview interroge quant au respect des différents principes et piliers du RGPD, notamment au titre de la loyauté et de la transparence nécessaire aux différents traitements de données à caractère personnel.

L’effacement de l’historique, les actions de dissimulations actives, la triche assumée ou encore la suppression de l’historique semblent contraires aux principes précités.

A RETENIR :

  • La potentielle diffusion de ce type d’IA très performante ne marque pas une évolution standard dans le domaine de l’IA, mais bien un tournant, auquel la cybersécurité actuelle devra être rapidement préparée.
  • Dans la perspective d’une mise à la disposition du public de l’IA Claude Mythos Preview, celle ci pourrait potentiellement porter atteinte à de nombreux droits fondamentaux, à l’instar des données personnelles et des droits de la personnalité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *